Clasificación de la información para el cumplimiento de ISO 27001

ISO 27001 es una norma internacional que se centra en la seguridad de la información. Esta norma orienta el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de seguridad de la información (ISMS). Para lograr la conformidad, es necesario:

• Comprenda qué activos de datos posee, su valor y quiénes son los propietarios de los activos
• Priorice de manera efectiva los controles de seguridad y procesos
• Proteja adecuadamente sus activos críticos, incluyendo su confidencialidad, integridad y disponibilidad (el triángulo CIA)
• Implementa la gestión de riesgos evaluando el valor de tus datos y el impacto si datos específicos se pierden, se usan indebidamente o se ven comprometidos.

La norma es voluntaria, pero empresas de todo el mundo eligen seguirla. Los requisitos son adecuados para organizaciones de cualquier tamaño en todas las industrias, especialmente en el entorno rico en datos pero riesgoso de hoy en día. Cumplir con ISO 27001 muestra a auditores y clientes que una empresa tiene niveles adecuados de protección para su valiosa información. También ayuda a las empresas a cumplir con requisitos legales, lograr una ventaja competitiva, mejorar la productividad y reducir costos.

ISO 27001 se divide en anexos para abordar áreas específicas. En este artículo exploraremos los requisitos clave del Anexo A.8, que regula la gestión de activos.

Anexo A.8: Gestión de Activos

Anexo A.8 especifica los tipos de controles que las organizaciones deben implementar para garantizar la identificación precisa de los activos de seguridad de la información, designar la responsabilidad de la seguridad y asegurar que los activos de datos estén protegidos según sus niveles de clasificación. Los controles definidos por la regulación que se dividen en controles técnicos, organizativos, legales, físicos y de recursos humanos.

Tenga en cuenta que ISO 27001 no especifica una lista exacta de activos sensibles; su organización toma esa decisión utilizando su mejor criterio.

El anexo se divide en tres subpartes principales, que se describen brevemente a continuación. Luego profundizaremos en la segunda subparte, que concierne a Netwrix Data Classification.

A.8.1 Responsabilidad de los Activos

El objetivo de A.8.1 es identificar los activos de datos que están dentro del alcance del ISMS y definir las responsabilidades de protección. Ejecute un descubrimiento para identificar todos los activos de información dentro de su organización, como registros en papel, archivos digitales, dispositivos extraíbles y correo electrónico. Luego cree un registro de activos. Para cada activo, asigne a un propietario de datos la responsabilidad de protegerlo.

A.8.2 Clasificación de Activos

Clasificar sus activos es uno de los pasos más importantes que puede tomar para asegurar sus datos adecuadamente y hacerlos accesibles a quienes los necesitan. La clasificación le permite proteger cada activo en el nivel de seguridad adecuado: gasta menos recursos en datos menos sensibles y proporciona una protección fuerte para sus activos más sensibles.

A.8.3 Procedimientos para dispositivos de medios

Subparte A.8.3 está diseñado para ayudar a las organizaciones a prevenir la divulgación, modificación, eliminación o destrucción no autorizadas de información almacenada en medios extraíbles, como unidades flash, CD-ROM y discos duros extraíbles. También incluye controles para la disposición o transferencia adecuada de estos medios para proteger contra data breaches, como el uso de mensajeros autorizados y empaques seguros y mantener un registro de todo el contenido de datos y su nivel de protección.

Una inmersión más profunda en el Anexo A.8.2: Clasificación de la Información

Como se discutió anteriormente, el Anexo A.8.2 cubre la clasificación de datos y el etiquetado de cada activo según su sensibilidad o importancia para su organización, de modo que pueda implementar protecciones adecuadas (como restricciones de acceso) basadas en esos niveles. Aquí están las subpartes del Anexo A.8.2.

A.8.2.1 Clasificación de la Información

El esquema de clasificación de información ideal es aquel que refleja la actividad empresarial, en lugar de inhibirla o complicarla. Construya su esquema de acuerdo con la sensibilidad de sus datos, los requisitos legales, la criticidad y el valor, para que pueda otorgar a cada activo un nivel adecuado de protección.

La mayoría de las empresas comienzan con solo tres o cuatro categorías. Por ejemplo, el esquema de clasificación para la Universidad de Bath en el Reino Unido ordena la información en estos grupos:

• Altamente restringido — Requiere medidas de seguridad significativas con acceso estrictamente controlado y limitado.
• Restringido — Requiere medidas de seguridad y acceso limitado, pero no significativo o estrictamente controlado.
• Uso interno — No requiere protección adicional.

Un ejemplo de un esquema de clasificación con cuatro categorías es confidencial, restringido, interno y público.

A.8.2.2 Etiquetado de datos

Tanto los activos físicos como los electrónicos deben estar etiquetados con sus categorías. Las etiquetas deben ser fáciles de gestionar para que los empleados las utilicen adecuadamente. Por ejemplo, puedes etiquetar documentos en papel sellándolos como “secreto” o “confidencial”. Los datos electrónicos suelen etiquetarse utilizando metadatos.

A.8.2.3 Manejo de Datos

El manejo de datos se refiere a cómo se pueden utilizar los datos y quién puede usarlos. Por ejemplo, puedes decidir que ciertos activos de datos pueden ser leídos pero no copiados por ciertos grupos de usuarios.

Existen múltiples controles para hacer cumplir las políticas de manejo de datos. Es posible que requiera que sus activos más sensibles estén cifrados para que solo las personas con un permiso particular puedan abrirlos. Los activos físicos importantes se pueden guardar en un gabinete cerrado o caja fuerte. Los procedimientos para dispositivos de medios deben cumplir con A.8.2.3.

Cómo Netwrix puede ayudar

La Netwrix Data Security Platform le ayuda a lograr, mantener y demostrar el cumplimiento de la norma ISO proporcionándole la inteligencia de seguridad que necesita para:

• Descubra y clasifique datos a través de sus diversos repositorios.
• Identifique brechas de seguridad mediante una evaluación de riesgos continua
• Detectar actividad anómala
• Detecte e investigue rápidamente patrones de amenazas
• Establezca una fuerte gobernanza de acceso a datos

Incluso mejor, la plataforma admite sistemas de datos tanto locales como en la nube, y datos tanto estructurados como no estructurados.